Di nagtagal ay nagpaliwanag ako kung paano malaman kung aling mga IP ang nakakonekta sa SSH, ngunit ... paano kung ang username o password ay hindi tama at hindi sila kumonekta?
Sa madaling salita, kung may sumusubok hulaan kung paano i-access ang aming computer o server sa pamamagitan ng SSH, kailangan talaga nating malaman, tama?
Para doon gagawin namin ang parehong pamamaraan tulad ng sa nakaraang post, susuriin namin ang tala ng pagpapatotoo ngunit sa oras na ito, na may ibang filter:
cat /var/log/auth* | grep Failed
Nag-iiwan ako ng isang screenshot ng hitsura nito:
Tulad ng nakikita mo, ipinapakita nito sa akin ang buwan, araw at oras ng bawat nabigong pagtatangka, pati na rin ang gumagamit kung saan sinubukan nilang ipasok at ang IP kung saan sinubukan nilang mag-access.
Ngunit maaari itong isaayos nang kaunti pa, gagamitin namin ang awkward upang mapagbuti nang kaunti ang resulta:
cat /var/log/auth* | grep Failed | awk '{print $2 "-" $1 " " $3 "\t USUARIO: " $9 "\t DESDE: " $11}'
Narito nakikita natin kung paano ito magiging hitsura:
Ang linyang ipinakita ko lamang sa iyo ay hindi dapat kabisaduhin lahat, maaari kang lumikha ng isang bansag para sa kanya, ang resulta ay kapareho ng sa unang linya, medyo maayos lamang.
Alam kong ito ay hindi magiging kapaki-pakinabang sa marami, ngunit para sa amin na namamahala ng mga server alam ko na magpapakita ito sa amin ng ilang mga kagiliw-giliw na data hehe.
Regards
Napakahusay na paggamit ng mga tubo
Regards
Salamat sa iyo
Magaling ang 2 post
Palagi kong ginagamit ang una, dahil hindi ko alam ang awk, ngunit kakailanganin kong malaman ito
pusa / var / log / auth * | Nabigo ang grep
Dito kung saan ako nagtatrabaho, sa Faculty of Mathematics-Computing sa Univ de Oriente sa Cuba, mayroon kaming isang pabrika ng "maliit na mga hacker" na patuloy na nag-iimbento ng mga bagay na hindi dapat at dapat kasama ko ang 8 mata. Ang ssh tema ay isa sa mga ito. Salamat sa tip dude.
Isang tanong: kung ang isang tao ay may isang server na nakaharap sa internet ngunit sa mga iptable bubukas lamang ang ssh port para sa ilang mga panloob na mga MAC address (sabihin natin mula sa isang tanggapan), ang mga pagtatangka sa pag-access mula sa natitirang mga panloob na mga address ay maaabot ang tala ng pagpapatunay at / o panlabas? Dahil mayroon akong mga pagdududa.
Sa log kung ano ang nai-save ay ang mga kahilingan lamang na pinapayagan ng firewall, ngunit tinanggihan o naaprubahan ng system tulad nito (Ibig kong sabihin ang pag-login).
Kung hindi pinapayagan ng firewall na pumasa ang mga kahilingan ng SSH, walang maaabot ang log.
Hindi ko ito nasubukan, ngunit halika ... Sa palagay ko dapat ganito
bigo ang grep -i /var/log/auth.log | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t USER:» $ 9 «\ t MULA SA:» $ 11}'
Nabigo ang rgrep -i / var / log / (logrotates folder) | awk '{print $ 2 «-» $ 1 »» $ 3 «\ t USER:» $ 9 «\ t MULA SA:» $ 11}'
sa centos-redhat… ..etc ……
/ var / log / secure